살다

랜섬웨어 크립토락커 스캔/제거 방법 본문

정보공유

랜섬웨어 크립토락커 스캔/제거 방법

텅스텐필름 2015. 7. 6. 08:49

대게 p2p 를 통해 배포 된뒤 감염된 피시에 이메일 주소록을 탈취하여 발송 됩니다.


정상적인 첨부파일 형태로 발송되며 해당 파일을 열면 감염시키고 전파시키는 형태를 보입니다.


---------------------------------------------------------------------------------------------------------

램섬웨이 대응 조치 권장 사항


1. 재부팅 후 f8 눌러서 윈도 부팅 옵션을 고름


2. 안전모드 with 네트워크로 부팅


3. 구글로 trendmicro cryptolocker removal tool 검색하거나 다음 링크에서 제거 툴 다운로드


http://www.trendmicro.co.kr/kr/security-intelligence/anti-threat-toolkit/


출처 : 한국트렌드마이크로 엔드포인트보안팀

---------------------------------------------------------------------------------------------------------

트렌드마이크로 위협 제거 툴이란?

트렌드마이크로 위협 제거 툴(Trend Micro Anti-Threat Toolkit)은 사용자의 컴퓨터가 온라인뱅킹 정보탈취 악성코드인 P2PZeus 및 파일 암호화 후 몸값을 요구하는 악성코드인 CryptoLocker에 감염되었는지 검사하고 위협 발견시 제거할 수 있는 온라인 보안 도구입니다.

위협 제거 툴 사용 방법

시스템이 32비트 또는 64비트인지 확인 후, 위 다운로드 버튼을 클릭하여 파일을 다운로드 받습니다.
Zip 파일의 압축 해제 후, 실행파일을 실행하면 아래와 같은 화면이 나타납니다.
‘Scan Now’를 클릭하면 컴퓨터가 악성코드에 감염되었는지 검사할 수 있습니다.


악명높은 악성코드 P2PZeus와 CryptoLocker란?

P2PZeus와 CryptoLocker는 전세계 수만 명의 온라인뱅킹 이용자들을 대상으로 비밀번호와 계정정보를 탈취하여 돈을 요구하는 악성코드입니다. 영국에서만 15,500대의 컴퓨터가 감염된 것으로 추정되고 있고 수억 파운드의 불법 송금이 이루어진 것으로 알려져 있습니다. 이 두 악성코드는 근래에 가장 많은 수의 피해자들을 낳으며 악명을 떨치고 있습니다.

P2PZeus와 CryptoLocker의 동작 방식은 의외로 간단하고 효과적입니다. P2PZeus는 이메일을 통해 배포되는데, 감염된 컴퓨터에서 견적서나 이력서와 같은 정상파일을 가장한 첨부파일로 실제 연락처에 있는 계정들로 이메일을 발송합니다. 이메일을 받은 컴퓨터에서 해당 첨부파일을 열게 되면 다시 감염이 이루어지는 방식으로 확산되고 있습니다.

P2PZeus는 컴퓨터 내에 잠복하고 있다가 이용자가 온라인뱅킹을 이용하면 그 정보를 탈취합니다. P2PZeus는 정보 탈취 외에도 CryptoLocker를 컴퓨터로 불러들여 이용자의 컴퓨터 내의 정보를 불법적으로 암호화하고 이용자에게 팝업을 띄워 타이머를 보여주면서 시간 내에 돈을 내도록 협박합니다. 영국에서 발견된 메시지에는 1 비트코인, 약 200~300파운드를 요구하고 있는 것으로 밝혀졌습니다.

     
  그림1. CryptoLocker는 사용자의 중요한 파일이 암호화되었다는
내용의 바탕화면을 보여준다.
  그림2. 이 파일들을 해독하고 다시 액세스 하기 위해서는
프라이빗 키를 구입하도록 유도한다.
 

영국에서는 NCA를, 미국에서는 FBI를 필두로 진행되고 있는 이 두 악성코드와의 전쟁은 감염된 컴퓨터를 파기하여 감염된 컴퓨터 사이의 통신을 막음으로써 피해를 줄이고 있는 실정이나 사법당국 홀로 막아내기에는 역부족인 상태입니다. 이에 사법당국은 이용자들로 하여금 컴퓨터의 운영 시스템과 각종 프로그램을 업데이트하고 반드시 보안 프로그램을 설치하고 검사를 진행하기를 권고하고 있습니다.

이 악성코드에 대응하기 위해 트렌드마이크로는 무료로 툴킷을 제공하고 있습니다. 이 툴킷을 컴퓨터에서 실행하면 위 악성코드가 컴퓨터를 감염시키기 전에 위협을 제거할 수 있습니다.

 

반응형